I follow a developer who builds his SaaS in public on YouTube. 300K+ subscribers watching him code, ship, and share revenue.

I looked at his product from a security perspective. Not as a test — as someone who builds in the same space and noticed patterns I keep seeing.

Three things were sitting in production that nobody noticed:

1. The framework auto-mounted an upload route that required zero login. Anyone could push files to the cloud storage bucket. The feature wasn't even being used — the framework set it up by default.

2. Rate limiting was per-IP only. A pool of rotating IPs pushed 564 requests through in one hour without triggering a single alert. The analytics dashboard was showing inflated numbers to product owners.

3. A login callback route accepted any input as a parameter. When it hit something unexpected, it returned a server error with internal details in the logs. Free information for anyone poking around.

The app worked. Users were paying. Everything looked fine on the surface.

The founder acknowledged everything, fixed all three, and published the full breakdown publicly. Transparent, professional, no drama.

Three things I took away from this:

Speed creates blind spots. AI builds fast and builds features. It doesn't check what the framework left behind.

"It works" is not the same as "it's safe." The most dangerous state for a SaaS is when everything looks perfect in the demo but there are open doors in production.

The first security pass is boring. It's checking routes, testing limits, and reading configs. No fancy tools needed. Two hours.

If you're shipping something built with AI and haven't done this check — start with your framework's route list. That's where most of the surprises live.

Mano, seguinte. Depois que o Deyvin postou no LinkedIn sobre eu ter

achado vulnerabilidade no Find My SaaS, um monte de gente veio perguntar

"será que o meu também tá zoado?".

Peguei os últimos 50 SaaS postados aqui que tinham link público e

rodei um check de superfície. Coisa rápida, 15 min por site. Não

foi pentest, foi "o que dá pra ver sem autenticação".

47 de 50 tinham pelo menos UMA merda que eu classifico como "vai dar

BO em menos de 1 mês".

E não é SQL injection mirabolante. É coisa BESTA:

- Rota de upload direto pro S3 aberta, sem auth. Quem usa Rails:

olha AGORA o /rails/active_storage/direct_uploads. Essa porra

é montada automaticamente pelo framework. Se você não bloqueou

explicitamente, tá aberta. Um script de 20 linhas em Python

enche teu bucket de lixo e você acorda com conta AWS de R$15k.

- ID de tenant validado SÓ no frontend. Muda de 1 pra 2 na

requisição e você vê lead, faturamento e cliente do vizinho.

Isso apareceu em 31 dos 50. TRINTA E UM.

- Webhook da Stripe sem validação de assinatura. Dá pra forjar

evento e ativar premium de graça. Quem usa Stripe, confere se

você tá verificando o stripe-signature ou só confiando no body.

- Rate limit por IP só. Com proxy pool de $20 (qualquer provedor

meia-boca) eu bypasso isso em 5 minutos. Você precisa de cap

GLOBAL por recurso, não por IP.

O que me deixa puto não é o erro....

erro todo mundo comete. O foda

é que tem gente com CLIENTE PAGANDO, faturamento rodando, e nunca

nem abriu o OWASP Top 10. A justificativa é sempre "ah, é MVP".

Irmão, o bucket S3 não sabe que você é MVP. A conta da AWS chega

do mesmo jeito. O vazamento de dados vai parar no JusBrasil igual.

Fiz essa rodada por curiosidade. Se alguém quiser uma auditoria

de VERDADE (com PoC, relatório detalhado, priorização de risco e

acompanhamento de correção), me chama na DM. Sou da RET Tecnologia.

Só não chama se o plano for "dá uma olhadinha". Isso não existe.